关键问答丨复盘手机失窃保卫战！第一时间应该怎么做？

如果发现手机被盗，你第一时间会怎么做？近日，一名网络安全工程师描述手机被盗后与不法分子周旋的“技术贴”引发网友关注。虽然他在手机失窃后以教科书式的操作试图阻止资金被盗，但还是被手法“专业”的犯罪团伙找到漏洞，结果造成了一系列经济损失。

答：这起事件中，犯罪分子使用一张手机卡，突破了多个App层层安全措施，直至盗取资金、贷款，侵害了用户财产安全。难得的是，受害者是一位从事网络安全工作的专业人士，他将整个事件清晰地进行了描述，也将犯罪分子使用的手段予以推断和还原。

答：从下图我们可以看出，手机号或身份证号验证这种典型的“实名认证”模式，其安全性已经比单纯的“账号+密码”模式更安全。但是因为没有做到“实人认证”，还是无法有效分辨手机号是否为本人使用，安全性还存在不足。

并非没有更加复杂的方法去验证是否为本人操作，只是验证步骤越复杂，收集的用户信息就会越多，用户的使用体验也会随之变差。

答：手机失窃后，通过下图中几个操作，事件中的犯罪手段便无法达成。当然，与用户早已习惯且操作方便的手机锁屏不同，SIM卡密码设置本身大家还不熟悉，是不是存在用户遗忘后造成锁机带来不便，或者部分手机操作系统会触发一些反复验证的机制？这都会影响到用户的使用体验。建议在设置SIM卡密码的问题上，运营商及手机操作系统都进一步优化，以便于用户使用该功能。

答：此次事件的典型特点就如受害者所说，犯罪分子利用一个个被App认为是“正常”的操作，利用手机号逐步套取了用户的身份证号、银行卡号等信息，最终完成了整个“拼图”，从而实施了进一步骗取贷款等操作。有黑客就说过，“世界上不存在没有漏洞的系统”，网络安全要做到事事预知、面面俱到、毫无瑕疵几无可能。我们要做的是尽可能在一些细节方面持续加强，与犯罪分子“赛跑”，让作恶的成本不断增加，不给其可乘之机。比如“解除挂失”等关键流程的完善，对于身份证号、银行卡号等的展示可以采取一些打码措施等。还可以通过一些高危风险“熔断”机制，“网络保险”等风险转嫁措施全方位保障安全。

答：不断消除App的安全隐患是App运营者理应履行的职责与义务，对此《网络安全法》第十条有明确规定：

对于不能有效履行网络安全义务的，在网信部门统筹协调下，电信主管部门、公安部门等部门开展监督管理工作，其中处罚方式包括责令整改、警告、行政罚款等，情节严重的可责令停业整顿、吊销执照。

其实只要构建较完备的安全技术和管理能力，除非是底层技术缺陷等特殊原因，大的安全漏洞一般不太会出现，或者不太会造成大范围影响，有足够完备的应急和善后措施也是一种重要的履责体现。

答：这个事件之所以让大家感到后怕，是因为大家会想，作为经验丰富的网络安全专家，面对犯罪分子的层层破解尚力不从心，最终也没能阻止犯罪，只能以补救方式止损。那么，对于普通网民岂不任人宰割？

我们不妨从全局分析，此次事件犯罪分子使用的手段，比起以往来看，事实上显得“性价比不高”，也就是说，万一当时受害者挂失成功，运营商没再听信其编造的谎言，后面的事情也就不会发生。犯罪的路径越复杂、越迂回，成功率一定是越低的。因此，从某种意义上来看，是因为目前网络安全措施普遍有所提升的情况下，迫使犯罪分子想出这个“吃力不讨好的招”，并不代表网络安全真的难以保障，否则，手机失窃案恐怕要大幅度增加了。

其次，从相关数据和舆情来看，此种犯罪方式刚开始出现，还没有大范围发生，受害者从专业角度第一时间向全社会科普，也让有关环节App运营者加强了安全措施，再次降低了出现类似事件的可能性。

网络安全始终是一个黑白不断对抗、攻防不断演化的过程，加强相关宣传教育工作至关重要。面对纷繁复杂的网络空间，作为普通网民，只要学习必要的知识技能、提升安全意识，以不变应万变，做到有效保护自己切身利益并非难事。

答：如何把握“账户安全”和“隐私保护”的平衡，其实也是一个难题。

目前，随着治理深入，用户的选择权越来越多，未经用户同意，这一类信息都不能被收集，大家选择不断关闭权限等收集个人信息渠道的同时，也对安全风控的数据源进行削减，这一点也不得不引人担忧。

在正在制定的国家标准《App收集个人信息基本规范》中，提出了设备唯一标识符可成为最小必要信息，但只能用于安全运营目的。但事实上，对目的的限制和要求还需企业能够真正自律才行，否则以安全目的收集个人信息挪作他用又可能侵犯个人隐私。当然，针对这个问题，研究机构和产业界也在不断探索更进一步的解决方案，以兼顾账户安全和隐私保护。

来源：央视新闻、首都网警

校对：小 董、明月

【2020-278-1539】返回搜狐，查看更多